我的开发人员在 AWS 上创建了一个 EC2 实例,我希望能够通过我自己的仪表板访问它。
我所做的是:
- 作为 root 用户,我为我和他创建了一个 IAM 帐户,并将我们俩分配到一个名为 PowerUsers 的组
- 我创建了一个组织单位并将他的帐户添加到其中
当他转到 EC2 仪表板时,他会看到他创建的实例。但当我进入 EC2 仪表板时,我什么也没看到。我们都选择了正确的区域。
我希望有人能在这里帮助我们,我似乎无法从 AWS 文档中获得任何明智的信息。
tl;dr视觉访问和技术访问之间存在差异。通过 IAM 角色和权限等,技术上是可能的。无法进行视觉访问,而不是从其他账户在 AWS 控制台中。
通常,您看不到您有权访问的其他帐户的资源。这根本不是 AWS / IAM 或基本上任何复杂的权限系统的工作方式。
对于 S3 存储桶也是如此,您无法在 S3 控制台中看到您有权访问的 S3 存储桶,也看不到那些对所有人公开的存储桶,也看不到您已明确授予权限的存储桶。您只能看到您/您的帐户实际拥有的存储桶。
从技术角度来看,原因非常简单:AWS 根本不知道您可以访问哪些存储桶/EC2 实例。它知道您的权限,如果您想访问特定资源,AWS 可以检查权限是否允许您访问它,但反之则不然。
IAM 具有可以根据 IP、一天中的时间、VPC 等授予权限的权限。这使得显示您可以访问的内容变得不可能而且没有真正的意义now因为在 10 秒内或来自不同的网络,您可能根本看不到它。
让我从个人经验告诉你,目前我自己正在构建一个:如果你构建一个权限系统,它的构建是为了回答“我可以做 X”,但列出所有 X 是一个非常不同的故事,IAM 无法回答它,我还没有遇到过一个许可系统can回答这个问题,同时具有复杂的权限结构并且高效。看来你不能同时拥有效率、复杂性和反向查找/列表。
请注意,您仍然可以访问该资源。例如。当操纵浏览器 URL 直接访问资源时,即使您没有登录拥有的帐户,您也可以查看它,但此时您会问“我可以做 X”(X =“查看资源”)并且that可以很容易地回答。你只能list资源。
第二个注意事项:您看到的以及您的账户拥有的一些列出的资源仍然无法访问,因为可能存在显式 IAMDeny
您当前角色的策略仅在与资源交互时生效。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)